Távolban futtatott ksh script kimenetének programozott lekérése ssh-n keresztül kliens gépre

Szkriptek: Python, Perl, Bash, ...

Üdv!

Azt hiszem a cím kb. mindent elárul a problémámról:

Adott egy ksh/awk script, ami logokat pásztázva készít bizonyos kötött formátumú statisztikai jellegű outputot. A puszta szöveges adatok mellett szeretném vizualizálni (grafikonon pl.) is ezeket a teljesítmény információkat. Van-e valami bevett szokás/minta, ami alapján egy kliens oldali alkalmazás (C/C++ pl.) SSH-n keresztül a szerverre belépve, ott lefuttatja a scriptet és a kimenetét letölti további feldolgozás céljából? (Valami RPC-szerű dolog kellene, de jó lenne kerülni a szerver oldalon futtatott daemon-okat pl.)

  • 1258 megtekintés

Azt nem vitatom, hogy ennek a biztonsaga pontosan egyenlo a publikus kulcsoseval, arra probalnek ravilagitani, hogy ez a megkozelites alapbol hibas.
Valakinek lehetett egy hasonlo problemaja, es irt erre egy programot, ahelyett hogy a problemat rendszer szinten oldotta vona meg.
Automatikusan nem lenne szabad engedelyezni mas gepekre az atjarast, egy ket kiveteltol eltekintve (pl cluster adminisztralas - de az logikailag gyakorlatilag egy rendszer).

Az eredeti problemara szerintem az volna a helyes megoldas, ha a shell script(ek) kimenete valamifele adatbazisba lenne beletolva, ezzel a visszajatszhatosag is meg lenne oldva, illetve a grafikon rajzolonak sem kellene folyamatosan varnia az adatokat.

Mar csak szorszalat hasogatni fogok. Nem pontosan egyenlo, hanem ennel sokkal rosszabb. Ugyanis nem veletlen az, hogy az ssh _alapbol_ nem engedi meg a jelszo parameterkenti megadasat, ugyanis ez _security hole_ amiatt, mert ssh-zni gyakorlatilag barki tud, nem csak a root, es egy gyenge jelszavu usernek a .bash_history fajlja baromi konnyen ellophato - es innentol mar csak annak a gepnek nem lesz meg a root jelszava, mindegyik masenak igen (foleg, ha a rendszergazda azt a hibas am elterjedt szokast alkalmazza, hogy PermitRootLogin with-password. Ezert vasvillaval szurnek keresztul egy nagy kazal embert).

Az eredeti kerdesre visszaterve: nem biztos, hogy az adatbazis jo megoldas, reszben azert, mert sokkal bonyolultabb (nem lehet mindent *sh scriptben megirni), reszben pedig azert, mert ez egy ido utan hihetetlen nagyra tud noni, tehat akkor mar kell karbantartasi scriptet is irni, meg... innentol meg mar az alkalmazasfejlesztes teruleten jarunk, nem a scriptirasen.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Szerintem pedig de, mert aki mar le tudja masolni a bash history-t az barmi mast is le tud lopni a geprol.
Jo, a kulcsot lehet lecsatolhato median tarolni, de aki igy akar scriptet automatizalni az valoszinuleg nem ott fogja tartani.

Ha pedig nem lehet az eredeti feladatot *sh scriptben megirni, akkor masban kell :)

Btw, lattam lejjebb hogy ezt te is rossz megoldasnak tartod.

Ha tudsz rola hogy ez rossz megoldas, akkor nyilvan megvan ra az okod hogy ezt akarod alkalmazni, es igazabol csak azt akartam tudatositani hogy ez rossz megoldas, es legyen meg az utokornak is hogy ezt nem illik igy megoldani :)

Mi ezt Jo-Hanssal sudo-val oldottuk meg, amikor Nagiosszal - vagy mi volt a leánykori neve? Netsaint? - monitoroztuk az éles rendszereinket. Így a felügyelő gépnek továbbra se volt hozzáférése kényes adatokhoz a felügyelt gépen. Ehhez persze be kellett állítani jól a sudo-t.

Ave, Saabi.

Eloszor is, ksozonom a valaszt, ez kimaradt.
Masreszt:

Egyfelol azert kerdeztem, mert az ESXi-nel nem akarok azzal szopni, hogy kitalaljam, hogy lehet kulcsossa tenni par konfig egyszeri backupja miatt, masfelol viszont aki ezt eles vagy feleles kornyezetbe hasznalja, az Taigetosz. En is csak total elszeparalt kornyezetben merem hasznalni, aminek eselye sincs kompromittalodni (illetve, ha kompromittalodik, akkor ez a jelszo lesz a legkisebb bajom).

Es csak hogy tudd: nem neked pattogtam. Bar megkonnyiti az eletemet, ettol meg alapvetoen rossz megoldasnak, ha nem kellene hasznalnom, sokkal boldogabb lennek. Sokkal-sokkal-sokkal.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

( saabi v | 2010. 03. 24., sze – 23:23 )

Kulcsos authentikáció egy olyan accountra, amelynek nincsen semmi, de komolyan semmi joga, azon kívül, hogy sudo-val kiadhat egy (vagy több) jól meghatározott parancsot. Ennyi.

Ave, Saabi.